เมื่อวันที่ 8 มีนาคมที่ผ่านมา คนจำนวนหนึ่งพบว่าไม่สามารถเข้าเว็บใดๆ ที่เป็นโดเมนของประเทศฟิจิ หรือ TLD ว่า .fj ได้ ทาง Cloudflare รายงานและพบว่าเกิดจากการเปลี่ยนกุญแจเซ็น DNSSEC ผิดพลาด จนทำให้ resolver หลายตัวที่ตรวจสอบ DNSSEC ก่อนไม่สามารถยืนยันความถูกต้องได้
DNSSEC เป็นกระบวนการยืนยันว่า ค่า DNS ที่ตอบจากเซิร์ฟเวอร์ DNS นั้นถูกต้องจริง โดยผู้ที่ถือโดเมนต้องนำค่าแฮชของกุญแจสาธารณะไปวางไว้ผู้ให้บริการระดับสูงขึ้นไป การตรวจสอบโดเมนจึงสามารถตรวจสอบเป็นชั้นๆ ตั้งแต่ root DNS ลงมายัง TLD ต่างๆ (เช่น .fj ของฟิจิ หรือ .th ของไทย) และจบด้วยการตรวจสอบโดเมนในที่สุด
กรณีนี้เกิดจากทาง registrar ของ .fj เปลี่ยนกุญแจเซ็นโดเมน แล้วเปลี่ยนไปใช้กุญแจใหม่ทันทีโดยไม่รอว่า root zone เริ่มประกาศกุญแจใหม่หรือยัง ทำให้ resolver เมื่อเห็นลายเซ็นที่เซ็นด้วยกุญแจใหม่จึงไม่สามารถตรวจสอบความถูกต้องได้ ปัญหากินเวลานานประมาณ 14 ชั่วโมง เมื่อ root zone ประกาศกุญแจใหม่แล้ว โดเมน .fj ก็กลับมาใช้งานได้
เหตุการณ์คอนฟิก DNSSEC ผิดพลาดจนทำ TLD ดับนั้นยังคงเกิดขึ้นเรื่อยๆ ในปี 2021 ที่ผ่านมาเกิดเหตุการณ์แบบเดียวกันถึง 5 ครั้ง และปีนี้โดเมน .fj ก็เป็นโดเมนที่สองแล้ว และเหตุการณ์แบบเดียวกันที่เกิดระดับโดเมน ไม่ใช่ระดับ TLD ก็บ่อยกว่านั้นอีก
ที่มา - Cloudflare
Comments
ตั้ง DNS resolver จะทำ DNSSEC validation นี่ลำบากใจมาก บางโดเมน(ในไทยนี่แหละ)เซต zone ของตัวเองไม่ถูก
ของเราทำ validation มันก็จะไม่ตอบอันที่ไม่ถูกไปให้ แต่มันมี resolver อื่นๆ ที่ไม่ทำ validation แล้วมันเลยตอบคำถามได้
user (รวมถึงเจ้าของ zone นั้นเองที่บางทีดันไม่ทำ validation) ก็จะบอกว่า ของอันอื่นๆ เค้าใช้ได้ ทำไมของเราใช้ไม่ได้ มันก็ต้องเป็นที่ของเราสิ
?
โอ้โห
ผมว่า DNSSEC นี่มันมีผลต่อผู้ใช้โดยตรงน้อยด้วย มองไม่เห็น เบราว์เซอร์ไม่เตือน
ยิ่งพอเป็น HTTPS หมดแล้ว ประโยชน์เลยน้อยมาก กลายเป็นว่าถ้าไม่ใช้ resolver สำหรับ CA นี่ไม่รู้จะทำ DNSSEC ทำไม
lewcpe.com, @wasonliw
ใช้กับเมลล์ร่วมกับ DKIM, SPF น่าจะได้ประโยชน์อยู่ครับ ถ้าบังคับให้ใช้กันหมดน่าจะลดปัญหา spoof/spam mail ไปได้แยะมากๆ
อีกอันคือสมมุติมี trusted CA แอบออก certificate แล้วกลางทาง redirect client ด้วยการใช้ DNS poisoning ตัว DNSSEC จะกันได้ (ไม่ถูกหลอกเข้าเว็บปลอม แต่ก็ใช้งานไม่ได้แบบงงๆ)
เพิ่มเติม:
เหมือน DANE จะค่อยๆ โตอยู่ ถึงไม่ได้เกิดใน web browser หลักๆ แต่อาจจะไปเอาดีทางอื่น
https://stats.dnssec-tools.org/